Demande de mot de passe pour la suppression d'extension

[Osku]

Autant une personne malveillante ne peut installer de nouveaux plugins sur un ordinateur dont la session n'a pas été fermée, autant elle peut allègrement supprimer toutes les extensions qu'elle souhaite..

Est il envisageable de demander le mot de passe pour une suppression d'extension ?

[sacha]

Je ne suis pas d'accord avec l'idée des champs de mots de passe à répétition.

Si la paranoïa en est à ce point, n'est-il pas préférable de limiter la durée d'une session à 10 min et déconnecter systématiquement l'utilisateur à son expiration ? On supprimera l'option "Se souvenir de mon identifiant sur cet ordinateur" pour l'occasion.

D'abord, il est illusoire de croire qu'en demandant systématiquement le mot de passe on est à l'abri de tout. Aujourd'hui les connexions SSL sont un luxe rare, est sans connexion sécurisée il est toujours possible, dans l'absolu, de récupérer le mot de passe de l'utilisateur et l'utiliser comme on veut. À ce sujet, la version SVN de SPIP est notable, car au moment de la connexion, le mot de passe est envoyé crypté grâce à un peu de JavaScript. C'est l'équivalent de la méthode d'authentification "digest", souvent utilisée pour l'authentification XMPP. Une telle option de sécurité est un réel plus, contrairement à la demande systématique du mot de passe à la moindre action, comme je vais essayer de l'expliquer.

Car demander le mot de passe systématiquement suppose que Dotclear est vulnérable, du moins potentiellement vulnérable. S'il l'est à ce point, pourquoi l'éventuelle vulnérabilité en question serait si superficielle ? Rien ne dit que l'hypothétique vulnérabilité ne permettra pas d'outrepasser les protections actuelles par mot de passe.

Si au moins cette fonctionnalité était optionnelle, mais non. L'utilisateur ne la choisit pas, il est contraint de la subir. Si cela peut traduire le manque de confiance en Dotclear, c'est aussi et surtout un manque de confiance en utilisateur. On en vient à le supposer irrésponsable, incapable de bloquer sa session en partant ou de se déconnecter après avoir utilisé un ordinateur public. Puis on s'attaque à son entourage, comme si un collègue de bureau ou un membre de la famille profitait de chaque occasion pour aller pirater son blog.

Enfin il me semble que cette fonctionnalité est totalement inefficace. Car soit l'utilisateur travaille dans un domaine sensible et est très soucieux de la sécurité, et alors il se déconnecte systématiquement de sa session, il utilise SSL, il ne retient jamais le mot de passe dans son navigateur, soit il ne le fait pas. Et alors il y a des fortes chances que son mot de passe soit enregistré dans son navigateur, et que Dotclear le vérifie ou non, ça ne changera rien.

Plutôt que d'utiliser des techniques douteuses et contraignantes pour l'utilisateur, on ferait mieux de réfléchir sur le fond du problème et envisager des solutions à la hauteur des possibilités techniques d'aujourd'hui.

[Chty]

oui pareil je trouve que c'est inutile. pareil pour l'installation de plugins. quand on a une session sensible on y fait attention. demander le mot de passe x fois c'est donner la possibilite qu'il soit vu x fois.

[Moe]

olivier a expliqué son choix ici :  http://forum.dotclear.net/viewtopic.php?pid=208757#p208757

Je vous propose de continuer ce débat sur le forum (dans le même sujet) si vous avez autre chose à ajouter.

[olivier]

La suppression d'un plugin n'est pas une opération permettant de toucher aux privilèges d'un utilisateur. La demande de mot de passe n'est pas nécessaire.

Le principe de demande de mot de passe n'est peut-être pas idéal mais il ne suppose pas que Dotclear est vulnérable, il s'agit juste d'une anticipation. Maintenant, Sacha, si tu as mieux à proposer, si tu as le patch qu'il faut, tu peux ouvrir un ticket et l'incorporer.

"Puis on s'attaque à son entourage, comme si un collègue de bureau ou un membre de la famille profitait de chaque occasion pour aller pirater son blog. " Tu n'as visiblement jamais travaillé dans une entreprise :)